20個Linux伺服器安全強化建議（一）

linux伺服器安全對於保護使用者資料、智財權非常重要，同時還能減少你面對黑客的時間。在工作中，通常由系統管理員對linux的安全負責，在這篇文章中，介紹了20條對linux系統進行強化的建議。本文所有的建議都基於centos、rhel系統或者ubuntu/debian的發行版本。

#1、加密資料通訊方式。

1、使用 scp、ssh、rsync或者sftp來進行檔案傳輸。也可以使用特殊的sshfs或者fuse工具來掛載遠端檔案系統或者你的工作目錄。 2、

gnupg 提供功能豐富的證書管理功能，允許你簽名資料並進行傳輸。 3、

fugu 是乙個圖形化的sftp檔案傳輸工具。sftp類似於ftp，但是與ftp不同，整個會話是加密的，也就是說不會用明文形式傳送密碼。另外乙個選項是

filezilla，乙個跨平台的客戶端段，也支援ftp、ftps 和 sftp。 4、

openvpn 是乙個輕量級、低成本的ssl vpn。 5、

lighttpd ssl（secure server layer）https 的安裝和配置。 6、

apache ssl（secure server layer）https（mod_ssl）的安裝和配置。

#1.1、避免使用ftp、telnet和rlogin/rsh服務

在大多數的網路配置下，使用者名稱、密碼，ftp / telnet /rsh 命令和傳輸的檔案能夠被同網段的任何人使用包嗅探軟體監聽。這個問題的通常解決方法是使用

openssh、

sftp 或者

ftps。

下面的命令可以幫助你刪除伺服器中沒必要的服務。

# yum erase inetd xinetd ypserv tfpt-server telnet-server rsh-server

#2、最小化軟體安裝原則。

你確實需要伺服器上安裝的所有服務嗎？避免安裝不必要的服務就是避免漏斗。使用 rpm 包管理工具，例如 yum 或者 apt-get 、dpkg 來檢查系統上安裝的軟體包，同時刪除不必要的包。

1 # yum

list installed

2 # yum

list packagename

3 # yum

remove packagename45

或者67 # dpkg --list

8 # dpkg --info

packagename

9 # apt-get remove packagename

#3、每個系統或例項上只執行一種服務。

將不同的服務執行在單獨的伺服器或虛擬化例項中。例如：如果黑客攻破apache進入到系統中，他就可以訪問部署在這台伺服器上的mysql、e-mail等其他服務，盡量不要這麼做。

#4、保持linux核心和軟體的更新。

維護系統的一項重要工作就是及時的安裝系統補丁。linux提供了很多必要的工具和方法來保證系統的更新，所有安全方面的更新都應該盡快執行，與第2條一樣，我們可以使用 yum、apt-get等工具來進行安全更新。

1 # yum

update23

或者45 # apt-get update && apt-get upgrade

你可以在系統中配置

更新提示郵件（red hat、centos、fedora），或者另外乙個辦法就是通過乙個cron定時任務安裝所有的安全更新。

#5、使用linux安全擴充套件。

linux提供了多種安全補丁，可以用來保護錯誤配置或者一些妥協的方案。盡可能使用

#5.1、selinux

selinux提供了一套靈活的訪問控制機制（mac：mandatory access control），標註的mac下乙個應用程式或者程序具有相關許可權的使用者下執行。使用mac的核心保護能夠使系統免於遭受系統的惡意攻擊。更相信的資訊可以檢視官方的

selinux說明配置文件。

20個Linux伺服器安全強化建議（一）

20個Linux伺服器安全強化建議（二）

20個Linux伺服器安全強化建議（三）

20個Linux伺服器安全強化建議（二）

20個Linux伺服器安全強化建議（一）

20個Linux伺服器安全強化建議（二）

20個Linux伺服器安全強化建議（三）

20個Linux伺服器安全強化建議（二）

相關推薦